Stargazers Ghost Network gemaakt via valse GitHub-accounts om malware te verspreiden

Een geavanceerde bedreigingsacteur, bekend als Stargazer Goblin, heeft een uitgebreid netwerk van valse GitHub-accounts gebouwd om een Distribution-as-a-Service (DaaS)-operatie mogelijk te maken. Dit plan heeft een belangrijke rol gespeeld bij de verspreiding van diverse informatiestelende malware, waardoor het afgelopen jaar illegale winsten zijn gegenereerd ter waarde van $100.000.

Het Stargazers Ghost-netwerk

Dit uitgebreide netwerk, door Check Point-onderzoekers "Stargazers Ghost Network" genoemd, bestaat uit meer dan 3.000 GitHub-accounts. Deze accounts worden gebruikt om kwaadaardige links en malware over duizenden opslagplaatsen te verspreiden. De malwarefamilies die via dit netwerk worden verspreid, zijn onder meer Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer en RedLine.

Structuur en Strategie

Het Stargazers Ghost Network gebruikt verschillende strategieën om zijn activiteiten te behouden en detectie te omzeilen:

• Accountdiversiteit : verschillende accounts zijn belast met specifieke rollen, zoals het hosten van phishing-sjablonen, het leveren van afbeeldingen of het verspreiden van malware vermomd als gekraakte software of game-cheats.
• Veerkrachttactieken : wanneer GitHub bepaalde accounts detecteert en verbiedt, past het netwerk zich snel aan door opslagplaatsen bij te werken met nieuwe links, waardoor de operationele verstoring wordt geminimaliseerd.
• Legitimiteitsimitatie : de accounts houden zich bezig met activiteiten zoals het in de hoofdrol spelen, forken en het bekijken van repository's om een schijn van legitimiteit te creëren.

De rol van 'spookaccounts'

Volgens beveiligingsonderzoeker Antonis Terefos verspreidt het netwerk van 'Ghost'-accounts niet alleen malware, maar ontplooit het ook activiteiten waardoor deze accounts als legitieme gebruikers verschijnen. Deze tactiek helpt bij het vermijden van argwaan en het behouden van de levensduur van hun kwaadaardige opslagplaatsen.

Lopende activiteiten en aanpassingen

Het Stargazers Ghost Network is actief sinds augustus 2022 en werd voor het eerst geadverteerd als DaaS in juli 2023. Een opmerkelijke campagne betrof een kwaadaardige GitHub-link die naar een PHP-script op een WordPress-site leidde, dat uiteindelijk de Atlantida Stealer uitvoerde via een PowerShell-script. Andere malwarefamilies zoals Lumma Stealer, RedLine Stealer, Rhadamanthys en RisePro worden ook via dit netwerk verspreid.

Uitbreiding op meerdere platforms

Het netwerk beperkt zich niet alleen tot GitHub; het beheert vergelijkbare 'Ghost'-accounts op platforms zoals Discord, Facebook, Instagram, X en YouTube. Deze aanwezigheid op meerdere platforms vergroot de veerkracht en het bereik van hun kwaadaardige activiteiten.

Recente afpersingscampagnes

In een gerelateerde ontwikkeling hebben onbekende dreigingsactoren zich sinds februari 2024 op GitHub-opslagplaatsen gericht. Deze aanvallers wissen de inhoud van de opslagplaats en eisen losgeld via Telegram onder het mom van een gebruiker genaamd Gitloker. Bij deze aanval wordt gebruik gemaakt van phishing-e-mails om ontwikkelaars te misleiden zodat ze een kwaadaardige OAuth-app autoriseren die gegevens uit de opslagplaats wist.

Beveiligingsadvies: CFOR-kwetsbaarheid

Truffle Security heeft een advies uitgebracht waarin de nadruk wordt gelegd op de mogelijkheden voor toegang tot gevoelige gegevens van verwijderde forks en privérepository's op GitHub. Dit probleem staat bekend als een Cross Fork Object Reference (CFOR)-kwetsbaarheid en doet zich voor wanneer commits naar een repository in een fork-netwerk toegankelijk blijven, zelfs als de repository wordt verwijderd of privé wordt gemaakt.

Stargazer Goblin's geavanceerde gebruik van GitHub voor het verspreiden van malware laat de evoluerende tactieken zien van bedreigingsactoren bij het exploiteren van legitieme platforms. Naarmate deze operaties ingewikkelder worden, moeten de beveiligingsmaatregelen voortdurend worden aangepast om nieuwe kwetsbaarheden aan te pakken en bescherming te bieden tegen dergelijke kwaadaardige netwerken.